Preguntas frecuentes acerca de AWS VPN

P: ¿Qué define las horas de conexión de VPN facturables?

R: Las horas de conexión de VPN se facturan siempre que las conexiones de VPN se encuentren en estado “disponible”. Puede determinar el estado de una conexión de VPN por medio de la consola de administración, la CLI o la API de AWS. Si no desea seguir utilizando la conexión de VPN, solo tiene que terminar dicha conexión para evitar que se le facturen las horas adicionales de conexión de VPN.

P: ¿Los precios incluyen impuestos?

R: A no ser que se especifique lo contrario, nuestros precios no incluyen los impuestos y gravámenes aplicables, como el IVA y cualquier otro impuesto aplicable sobre las ventas. En el caso de los clientes con una dirección de facturación de Japón, el uso de los servicios de AWS está sujeto al impuesto de consumo nipón. Más información.

P: ¿Qué opciones de conectividad VPN existen para mi VPC?

R: Puede conectar su VPC al centro de datos de su empresa mediante una conexión de VPN de hardware a través de la gateway privada virtual.

P: ¿Cómo acceden a Internet las instancias sin direcciones IP públicas?

R: Las instancias sin direcciones IP públicas pueden obtener acceso a Internet de dos maneras distintas:

Las instancias sin direcciones IP públicas pueden direccionar el tráfico mediante una gateway de traducción de dirección de red (NAT) o una instancia NAT para obtener acceso a Internet. Estas instancias utilizan la dirección IP pública de la gateway de NAT o la instancia NAT para atravesar Internet. La gateway de NAT o la instancia NAT deja pasar las comunicaciones de salida, pero no permite que las máquinas de Internet inicien una conexión con las instancias con dirección privada.

Para las VPC que tienen una conexión de VPN de hardware o Direct Connect, las instancias pueden direccionar su tráfico de Internet por la gateway privada virtual hasta su centro de datos. Desde ahí, pueden obtener acceso a Internet por medio de los puntos de salida existentes y a través de los dispositivos de seguridad y monitoreo que tenga instalados en la red.

P: ¿Cómo funciona una conexión de AWS VPN de sitio a sitio con Amazon VPC?

P: Una conexión de AWS VPN de sitio a sitio conecta la VPC con el centro de datos. Amazon admite conexiones de VPN de seguridad de protocolo de Internet (IPsec). Los datos que se transfieren entre su VPC y su centro de datos se direccionan a través de una conexión de VPN cifrada para ayudar a mantener la confidencialidad y la integridad de los datos en tránsito. No se necesita una gateway de Internet para establecer una conexión de Site-to-Site VPN.

P: ¿Qué es IPsec?

R: IPsec es un conjunto de protocolos para proteger las comunicaciones por protocolo de Internet (IP) mediante la autenticación y el cifrado de todos los paquetes de IP de un flujo de datos.

P: ¿Qué dispositivos de gateway de cliente puedo utilizar para conectarme a Amazon VPC?

R: Puede crear dos tipos de conexiones de AWS Site-to-Site VPN: dirigidas estáticamente o dinámicamente. Los dispositivos de gateway de cliente que admitan las conexiones de VPN dirigidas estáticamente deben ser capaces de:

Establecer una asociación de seguridad IKE mediante claves previamente compartidas

Establecer asociaciones de seguridad IPsec en modo de túnel

Utilice la función de cifrado AES 128-bit, 256-bit, 128-bit-GCM-16 o 256-GCM-16

Utilice la función de hash SHA-1, SHA-2 (256), SHA2 (384) o SHA2 (512)

Utilizar la función Diffie-Hellman Perfect Forward Secrecy en modo de “Grupo 2” o uno de los grupos de DH adicionales que admitimos

Realizar la fragmentación de paquetes antes de cifrar

Además de las capacidades anteriores, los dispositivos que admitan las conexiones de Site-to-Site VPN dirigidas dinámicamente deben ser capaces de:

Establecer asociación entre pares con protocolo de gateway fronterizo (BGP)

Conectar túneles a interfaces lógicas (VPN basada en rutas)

Utilizar la detección IPsec de pares muertos

P: ¿Qué grupos Diffie-Hellman se admiten?

R: Se admiten los siguientes grupos Diffie-Hellman (DH) en Phase 1 y Phase 2.

Grupos 1 DH en Phase 2, 14-24.

Grupos 2 DH en Phase 2, 5, 14-24.

P: ¿Qué algoritmos propone AWS cuando se necesita volver a general la clave IKE?

R: De manera predeterminada, luego el punto de enlace de VPN en lado de AWS propondrán los grupos 2 AES-128, SHA-1 y DH. Si desea especificar una propuesta para volver a general la clave, recomendamos que utilice Modify VPN Tunnel Options (Modificar opciones de túnel de VPN) para restringir el túnel de opciones a los parámetros de VPN específicos que solicita.

P: ¿Qué dispositivos de gateway de cliente funcionan con Amazon VPC?

R: En la guía para administradores de red, encontrará una lista de dispositivos que cumplen los requisitos anteriores y cuyo funcionamiento con conexiones de VPN de hardware está comprobado. Además, permiten la generación automática de archivos de configuración adecuados para su dispositivo por medio de herramientas de línea de comandos.

P: Si mi dispositivo no aparece en la lista, ¿dónde puedo buscar más información sobre cómo usarlo con Amazon VPC?

R: Le recomendamos consultar el foro de Amazon VPC, ya que es posible que existan otros clientes que ya estén utilizando su dispositivo.

P: ¿Cuál es el rendimiento máximo aproximado de una conexión de Site-to-Site VPN?

R: Cada conexión de Site-to-Site VPN de AWS tiene dos túneles y cada túnel admite un máximo rendimiento de hasta 1.25 Gbps. Si la conexión de VPN es para una gateway privada virtual, se aplicarán límites de rendimiento agregados.

P: ¿Existe un límite de rendimiento agregado para una gateway privada virtual?

R: Una gateway privada virtual tiene un límite de rendimiento agregado por tipo de conexión. Las conexiones de VPN múltiples para la misma gateway privada virtual están vinculados por un límite de rendimiento agregado de AWS en las instalaciones de hasta 1.25 Gbps. Para la conexión de AWS Direct Connect en una gateway privada virtual, el rendimiento está vinculado por el puerto físico de conexión directo. Para conectar múltiples VPC y lograr límites de rendimiento más altos, utilice AWS Transit Gateway.

P: ¿Qué factores inciden sobre el rendimiento de una conexión de VPN?

R: El rendimiento de una conexión de VPN puede depender de varios factores, como la capacidad de la gateway de cliente, la capacidad de su conexión, el tamaño de paquete promedio, el protocolo utilizado, TCP o UDP, y la latencia de red entre su CGW y su gateway privada virtual.

P: ¿Cuáles son los paquetes por segundo máximos aproximados de una conexión de Site-to-Site VPN?

R: Cada conexión de Site-to-Site VPN de AWS tiene dos túneles y cada túnel admite un máximo de paquetes por segundo de hasta 140 000.  

P: ¿Qué herramientas hay disponibles para ayudarme a solucionar los problemas de configuración de Site-to-Site VPN?

R: La API DescribeVPNConnection indica el estado de la conexión de VPN, incluido el estado (“up”/“down”) de cada túnel de VPN y los correspondientes mensajes de error si uno de los túneles no funciona (“down”). Esta información también se muestra en la consola de administración de AWS.

P: ¿Cómo puedo conectar una VPC con el centro de datos de mi empresa?

R: El establecimiento de una conexión de VPN de hardware entre su red existente y Amazon VPC permite interactuar con las instancias de Amazon EC2 en una VPC como si estuviesen en la red existente. AWS no lleva a cabo la traducción de direcciones de red (NAT) en las instancias de Amazon EC2 de una VPC a la que se obtiene acceso mediante una conexión de VPN de hardware.

P: ¿Puedo convertir con NAT mi gateway de cliente tras un router o firewall?

R: Utilizará la dirección IP pública de su dispositivo de NAT.

P: ¿Qué dirección IP utilizo para mi dirección de gateway de cliente?

R: Utilizará la dirección IP pública de su dispositivo de NAT.

P: ¿Cómo deshabilito NAT-T en mi conexión?

R: Debe deshabilitar NAT-T en el dispositivo. Si no piensa utilizar NAT-T y este no está deshabilitado en el dispositivo, se intentará establecer un túnel a través del puerto UDP 4500. Si dicho puerto no está abierto, el túnel no se establecerá.

P: ¿Cuántas asociaciones de seguridad IPsec pueden establecerse simultáneamente en cada túnel?

R: El servicio VPN de AWS se basa en rutas, por lo que al utilizar una configuración basada en rutas no encontrará ninguna limitación de asociaciones de seguridad. Sin embargo, si utiliza una solución basada en políticas deberá limitarse a una única asociación, ya que el servicio es una solución basada en rutas.

P: ¿Puedo anunciar mi rango de direcciones IP públicas de VPC en Internet y direccionar el tráfico a través de mi centro de datos hacia mi VPC por medio de Site-to-Site VPN?

R: Sí, puede direccionar el tráfico mediante una conexión de VPN y anunciar el rango de direcciones desde su red doméstica.

P: ¿Cuál es el número máximo de rutas que mi conexión de VPN anunciará a mi dispositivo gateway de cliente?

R: Su conexión de VPN anunciará un máximo de 1000 rutas al dispositivo gateway de cliente. Para las VPN de una gateway privada virtual, las fuentes de rutas anunciadas incluyen rutas VPC, otras rutas VPN y rutas de interfaces virtuales DX. Para las VPN de AWS Transit Gateway, las rutas anunciadas provienen de la tabla de enrutamiento asociada a la conexión de VPN. Si se intentan enviar más de 1000 rutas, solo se anunciará un subconjunto de 1000.  

P: ¿Cuál es la cantidad máxima de rutas que se pueden anunciar a mi conexión de VPN desde mi dispositivo gateway de cliente?

R: Puede anunciar un máximo de 100 rutas a su conexión de Site-to-Site VPN en una gateway privada virtual desde su dispositivo gateway de cliente o un máximo de 1000 rutas a su conexión de Site-to-Site VPN en AWS Transit Gateway. Para una conexión de VPN con rutas estáticas, no podrá agregar más de 100 rutas estáticas. Para una conexión de VPN con BGP, la sesión BGP se reiniciará si intenta anunciar más que el máximo permitido para el tipo de gateway.

P: ¿Las conexiones de VPN admiten tráfico IPv6?

R: Sí. Las conexiones de VPN a un AWS Transit Gateway pueden admitir tráfico ya sea IPv4 o IPv6 que se puede seleccionar a la vez que se crea una nueva conexión VPN. Para seleccionar IPv6 para el tráfico VPN, configure la opción de túnel VPN para la versión Inside IP a IPv6. Tenga en cuenta que el punto de enlace del túnel y las direcciones de IP del gateway de cliente son IPv4 únicamente.

P: ¿Qué lado del túnel VPN inicia la sesión de intercambio de claves de Internet (IKE)?

R: El gateway de cliente (CGW) debe iniciar el IKE de forma predeterminada. Alternativamente, los puntos de conexión de la VPN de AWS pueden iniciarse habilitando las opciones apropiadas.

P: ¿Las conexiones VPN admiten direcciones IP privadas?

R: Sí. La función VPN de sitio a sitio de IP privada le permite implementar conexiones VPN a un AWS Transit Gateway utilizando direcciones IP privadas. La VPN con IP privada funciona a través de una interfaz virtual de tránsito de AWS Direct Connect. Puede seleccionar direcciones IP privadas como sus direcciones IP de túnel externo mientras crea una nueva conexión VPN. Tenga en cuenta que el punto de conexión del túnel y las direcciones de IP de la puerta de enlace de cliente son IPv4 únicamente.

P: ¿Hay alguna diferencia entre las interacciones del protocolo VPN de IP pública y privada?

R: No, el cifrado IPSec y el intercambio de claves funcionan de la misma manera para las conexiones de VPN de sitio a sitio de IP privada que para las conexiones de VPN de IP pública.

P: ¿Necesito una Transit Gateway para VPN con IP privada?

R: Sí, necesita una Transit Gateway para implementar conexiones de VPN con IP privadas. Además, una conexión de VPN con IP privada en Transit Gateway requiere un adjunto de Direct Connect para el transporte. Debe especificar una identificación de conexión de Direct Connect al configurar una conexión VPN de IP privada a una Transit Gateway. Múltiples conexiones de VPN con IP privadas pueden usar la misma conexión de Direct Connect para el transporte.

P: ¿Las VPN con IP privadas admiten enrutamiento estático y BGP?

R: Sí, las VPN con IP privadas admiten el enrutamiento estático y el enrutamiento dinámico mediante BGP. Si su dispositivo de puerta de enlace de cliente es compatible con el protocolo de puerta de enlace fronteriza (BGP), especifique el enrutamiento dinámico cuando configure su conexión VPN de sitio a sitio. Si su dispositivo de puerta de enlace de cliente no es compatible con el BGP, especifique el enrutamiento estático. Recomendamos que utilice dispositivos compatibles con el BGP, cuando estén disponibles, porque el protocolo BGP ofrece comprobaciones sólidas de detección de ejecución que pueden ayudar a la conmutación por error al segundo túnel VPN si el primer túnel deja de funcionar.

P: ¿Cuál es el comportamiento de asociación y propagación de la tabla de enrutamiento de Transit Gateway para la conexión de VPN con IP privada?

R: El comportamiento de asociación y propagación de la tabla de enrutamiento para una conexión de VPN con IP privada es el mismo que para cualquier otra conexión de puerta de enlace de tránsito. Puede asociar una tabla de enrutamiento de Transit Gateway a la conexión de VPN con IP privada y propagar rutas desde la conexión de VPN con IP privada a cualquiera de las tablas de enrutamiento de Transit Gateway.

P: ¿Qué rendimiento puedo obtener con una VPN con IP privada?

R: Al igual que las conexiones de VPN normales de sitio a sitio, cada conexión VPN con IP privada admite 1,25 Gbps de ancho de banda. Puede usar ECMP (múltiples rutas de igual costo) en múltiples conexiones de VPN con IP privada para aumentar el ancho de banda efectivo. Como ejemplo, para enviar 10 Gbps de tráfico DX a través de una VPN con IP privada, puede usar 4 conexiones de VPN con IP privadas (4 conexiones x 2 túneles x 1,25 Gbps de ancho de banda) con ECMP entre un par de Transit Gateway y la puerta de enlace de cliente.

P: ¿Puedo dirigir tráfico ECMP a través de una VPN con IP privada y conexiones de VPN con IP pública?

R: No, no puede dirigir tráfico ECMP a través de conexiones de VPN con IP públicas y privadas. ECMP para VPN con IP privada solo funcionará en conexiones VPN que tengan direcciones IP privadas.

P: ¿Cuál es la MTU (Unidad máxima de transmisión) de VPN con IP privada?

R: Las conexiones de VPN con IP privadas admiten 1500 bytes de MTU.

P: ¿Se puede asociar una VPN con IP privada con una cuenta de propietario diferente al propietario de la cuenta de Transit Gateway?

R: No, tanto Transit Gateway como las conexiones de VPN de sitio a sitio deben ser propiedad de la misma cuenta de AWS.

P: ¿En qué regiones de AWS están disponibles AWS Site-to-Site VPN y la función de VPN con IP privada?

R: El servicio de AWS Site-to-Site VPN está disponible en todas las regiones comerciales, excepto en las regiones de AWS Asia-Pacífico (Pekín) y Asia-Pacífico (Ningxia). La función VPN con IP privada es compatible con todas las regiones de AWS donde el servicio AWS Site-to-Site VPN está disponible.

P: ¿Por qué debería utilizar una Site-to-Site VPN acelerada?

R: Las conexiones VPN enfrentan disponibilidad y desempeño inconsistentes a medida que el tráfico viaja a través de varias redes públicas de Internet antes de alcanzar el punto de enlace VPN de AWS. Dichas redes públicas pueden estar congestionadas. Cada salto puede traer riesgos de disponibilidad y desempeño. Una Site-to-Site VPN acelerada hace que la experiencia de usuario sea más consistente gracias al uso de la red global de alta disponibilidad y libre de congestión de AWS.

P: ¿Cómo puedo crear una Site-to-Site VPN acelerada?

R: Cuando esté creando una conexión VPN, establezca “Enable Acceleration” (Habilitar aceleración) en “true”.

P: ¿Cómo averiguo si mi conexión VPN existente es una Site-to-Site VPN acelerada?

R: En la descripción de su conexión VPN, el valor “Enable Acceleration” (Habilitar aceleración) debe estar establecido como “true”.

P: ¿Cómo puedo convertir mi Site-to-Site VPN existente en una Site-to-Site VPN acelerada?

R: Después de crear una nueva Site-to-Site VPN acelerada, actualice su dispositivo de gateway de cliente para conectarse a esta nueva conexión de VPN y, a continuación, elimine su conexión de VPN existente. Obtendrá nuevas direcciones IP del punto de enlace del túnel dado que las VPN aceleradas utilizan rangos de direcciones IP diferentes de las conexiones VPN no aceleradas.

P: ¿Tanto AWS Transit Gateway como la virtual gateway son compatibles con Site-to-Site VPN aceleradas?

R: Solo Transit Gateway es compatible con Site-to-Site VPN aceleradas. Debe especificarse una gateway de tránsito cuando se cree una conexión VPN. El punto de enlace de VPN en el lado de AWS se crea en Transit Gateway.

P: ¿Una conexión de Site-to-Site VPN acelerada ofrece dos túneles para una alta disponibilidad?

R: Sí, cada conexión VPN ofrece dos túneles para una alta disponibilidad.

P: ¿Hay alguna diferencia de protocolo entre los túneles de Site-to-Site VPN aceleradas y no aceleradas?

R: Se requiere NAT-T y se activa de forma predeterminada para las conexiones Site-to-Site VPN aceleradas. Aparte de eso, los túneles de VPN aceleradas y no aceleradas admiten el mismo tipo de protocolos de seguridad IP (IPsec) e intercambio de claves por red (IKE), además de ofrecer el mismo ancho de banda, opciones de túnel, opciones de direccionamiento y tipos de autenticación.

P: ¿Una conexión de Site-to-Site VPN acelerada ofrece dos zonas de red para una alta disponibilidad?

R: Sí, seleccionamos direcciones de protocolos de IP globales de AWS Global Accelerator de zonas de red independientes para los puntos de enlace de los dos túneles.

P: ¿Las Site-to-Site VPN aceleradas son una opción en AWS Global Accelerator?

R: No, las Site-to-Site VPN aceleradas solo se puede crear mediante AWS Site-to-Site VPN. Las Site-to-Site VPN aceleradas no pueden crearse mediante la consola o la API de AWS Global Accelerator.

P: ¿Puedo usar una VPN acelerada en interfaces virtuales públicas de AWS Direct Connect?

R: No, no se admiten Site-to-Site VPN aceleradas en interfaces virtuales públicas de Direct Connect. En la mayor parte de los casos no hay ningún beneficio de aceleración al usar una Site-to-Site VPN acelerada en Direct Connect.

P: ¿En qué regiones de AWS está disponible Site-to-Site VPN aceleradas?

R: Accelerated Site-to-Site VPN está actualmente disponible en estas regiones de AWS: Oeste de EE. UU. (Oregón), Oeste de EE. UU. (Norte de California), Este de EE. UU. (Ohio), Este de EE. UU. (Norte de Virginia), América del Sur (São Paulo), Oriente Medio (Baréin), Europa (Estocolmo), Europa (París), Europa (Milán), Europa (Londres), Europa (Irlanda), Europa (Fráncfort), Canadá (centro), Asia-Pacífico (Tokio), Asia-Pacífico (Sídney), Asia-Pacífico (Singapur), Asia-Pacífico (Seúl), Asia-Pacífico (Bombay), Asia-Pacífico (Hong Kong), África (Ciudad del Cabo).

P: ¿Qué registros se admiten para AWS Site-to-Site VPN?

R: Los registros de conexión de Site-to-Site VPN incluyen detalles sobre la actividad de establecimiento de túneles de seguridad IP (IPsec), incluidas las negociaciones de intercambio de claves de Internet (IKE) y los mensajes de protocolo de detección de pares muertos (DPD). Estos registros se exportan periódicamente a intervalos de 5 minutos y se entregan a los registros de CloudWatch en la medida de lo posible.

P: ¿Se ofrecen registros de Site-to-Site VPN para conexiones VPN a puertas de enlace de tránsito y virtuales?

R: Sí, se pueden habilitar los registros de Site-to-Site VPN para conexiones VPN basadas en puertas de enlace de tránsito y virtuales.

P: ¿Puedo habilitar los registros de Site-to-Site VPN en mis conexiones VPN existentes?

R: Sí, puede habilitar los registros de Site-to-Site VPN a través de las opciones de túnel al crear o modificar su conexión.

P: ¿Que pasa cuando habilito los registros de Site-to-Site VPN en mis conexiones VPN existentes?

R: Cuando habilita los registros de Site-to-Site VPN a una conexión VPN existente al utilizar las opciones de modificación del túnel, su conectividad a través del túnel se interrumpe durante varios minutos. Cada conexión VPN ofrece dos túneles para una alta disponibilidad. Puede habilitar el inicio de sesión en un túnel a la vez y solo se verá afectado el túnel modificado. Para obtener más información, consulte Reemplazos del punto de conexión del túnel de Site-to-Site VPN en la Guía del usuario de AWS Site-to-Site VPN.

P: ¿Cómo habilito la conectividad con otras redes?

R: Puede habilitar la conectividad con otras redes como VPC de Amazon interconectadas, redes locales a través de gateways virtuales o servicios de AWS, como S3, mediante puntos de enlace, redes a través de AWS PrivateLink u otros recursos a través de gateways de Internet. Para habilitar la conectividad, agregue una ruta a la red específica en la tabla de ruteo de Client VPN y una regla de autorización que permita el acceso a dicha red.

P: ¿Puede pertenecer el punto de enlace de Client VPN a una cuenta diferente que la subred asociada?

R: No, la subred asociada tiene que estar en la misma cuenta que el punto de enlace de Client VPN.

P: ¿Puedo acceder a recursos de una VPC ubicada en una región diferente de la configurada en la sesión TLS mediante una dirección IP privada?

R: Puede hacerlo si sigue estos pasos: Primero, configure una interconexión entre regiones entre su VPC de destino (aquella ubicada en una región diferente) y la VPC asociada de Client VPN. Segundo, debe agregar una ruta y una regla de acceso para la VPC de destino en el punto de enlace de Client VPN. Una vez hecho esto, sus usuarios podrán acceder a los recursos de la VPC de destino que se encuentra en una región diferente desde su punto de enlace de Client VPN.

P: ¿Qué protocolos de transporte son compatibles con Client VPN?

R: Puede elegir TCP o UDP para la sesión de VPN.

P: ¿AWS Client VPN es compatible con túnel dividido?

R: Sí. Puede optar por crear un punto de enlace con el túnel dividido habilitado o deshabilitado. Si ya ha creado un punto de enlace con el túnel dividido deshabilitado, puede optar por modificarlo para habilitar el túnel dividido. Si el túnel dividido está habilitado, el tráfico destinado a las rutas configuradas en el punto de enlace se enrutará a través del túnel de VPN. El resto del tráfico se enrutará a través de su interfaz de red local. Si el túnel dividido está deshabilitado, todo el tráfico del dispositivo atravesará el túnel de VPN.

P: ¿Qué registros se admiten para AWS Client VPN?

R: Client VPN exporta el registro de conexión como el mejor esfuerzo hacia CloudWatch Logs. Estos registros se exportan periódicamente cada 15 minutos. Los registros de conexión incluyen información sobre las solicitudes de conexión creadas y finalizadas.

P: ¿Client VPN es compatible con los registros de flujo de Amazon VPC en el punto de enlace?

R: No. Puede utilizar los registros de flujo de Amazon VPC en la VPC asociada.

P: ¿Puedo monitorear las conexiones activas?

R: Sí, a través de la CLI o la consola, puede visualizar las conexiones activas de un punto de enlace y finalizarlas.

P: ¿Puedo monitorear el punto de enlace con CloudWatch?

R: Sí. A través del monitor de CloudWatch puede consultar los bytes de entrada y salida y las conexiones activas de cada punto de enlace de Client VPN.

P: ¿Qué es esta característica?

R: Para cualquier gateway virtual nueva, un número de sistema autónomo privado (ASN) permite a los clientes definir el ASN en el extremo de Amazon de la sesión BGP para VPN y VIF privadas de AWS Direct Connect.

P: ¿Cuánto cuesta esta característica?

R: No se aplican cargos adicionales por el uso de esta característica.

P: ¿Cómo puedo configurar/asignar mi ASN para que se publique como ASN del lado de Amazon?

R: Puede configurar/asignar un ASN para que se publique como el ASN del extremo de Amazon durante la creación de la nueva gateway privada virtual (gateway virtual). Puede crear una gateway virtual mediante el uso de la consola de VPC o una llamada a la API EC2/CreateVpnGateway.

P: ¿Qué ASN asignó Amazon antes de esta característica?

R: Amazon asignó los siguientes ASN: UE Oeste (Dublín) 9059; Asia Pacífico (Singapur) 17493 y Asia Pacífico (Tokio) 10124. A las demás regiones se les asignó un ASN de 7224; a estos ASN se los denomina “ASN públicos heredados” de la región.

P: ¿Puedo usar cualquier ASN, público y privado?

R: Puede asignar cualquier ASN privado al extremo de Amazon. Puede asignar el “ASN público heredado” de la región hasta el 30 de junio de 2018. No puede asignar ningún otro ASN público. Luego del 30 de junio de 2018, Amazon proveerá un ASN de 64512.

P: ¿Por qué no puedo asignar un ASN público para la mitad de Amazon de la sesión BGP?

R: Amazon no valida la titularidad de los ASN, por lo tanto, estamos restringiendo el ASN del lado de Amazon a los ASN privados. Queremos proteger a los clientes de la suplantación de BGP.

P: ¿Qué ASN puedo elegir?

R: Puede elegir cualquier ASN privado. El rango de los ASN privados de 16 bits va de 64512 a 65534. También puede suministrar ASN de 32 bits entre 4200000000 y 4294967294.

Amazon proveerá un ASN predeterminado para la gateway virtual si usted no elige uno. Hasta el 30 de junio de 2018, Amazon continuará suministrando el “ASN público heredado” de la región. Luego del 30 de junio de 2018, Amazon proveerá un ASN de 64512.

P: ¿Qué sucederá si intento asignar un ASN público a la mitad de Amazon de la sesión de BGP?

R: Le solicitaremos que vuelva a escribir un ASN privado cuando intente crear la gateway virtual, a menos que sea el “ASN público heredado” de la región.

P: Si no suministro un ASN para la mitad de Amazon de la sesión de BGP, ¿qué ASN debo esperar que Amazon me asigne?

R: Amazon proveerá un ASN para la gateway virtual si usted no elige uno. Hasta el 30 de junio de 2018, Amazon continuará suministrando el “ASN público heredado” de la región. Luego del 30 de junio de 2018, Amazon proveerá un ASN de 64512.

P: ¿Dónde puedo ver el ASN del lado de Amazon?

R: Puede ver el ASN del extremo de Amazon en la página de la gateway virtual de la consola de la VPC y en la respuesta de la API EC2/DescribeVpnGateways.

P: Si tengo un ASN público, ¿funcionará con un ASN privado en el lado de AWS?

R: Sí, puede configurar el extremo de Amazon de la sesión BGP con un ASN privado y su extremo con un ASN público.

R: Tengo VIF privadas ya configuradas y deseo definir un ASN del lado de Amazon diferente para la sesión BGP en una VIF existente. ¿Cómo puedo implementar este cambio?

R: Deberá crear una gateway virtual nueva con el ASN elegido y crear una VIF nueva con la gateway virtual creada recientemente. La configuración de su dispositivo también debe modificarse respectivamente.

P: Tengo conexiones de VPN ya configuradas y deseo modificar el ASN del lado de Amazon para la sesión BGP de estas VPN. ¿Cómo puedo implementar este cambio?

R: Deberá crear una gateway virtual nueva con el ASN elegido y volver a crear las conexiones de VPN entre sus gateways de cliente y las nuevas gateway virtuales creadas.

P: Ya tengo una gateway virtual y una conexión de VIF/VPN privada configurada con un ASN público asignado por Amazon de 7224. Si Amazon genera automáticamente el ASN para la nueva gateway virtual privada, ¿qué ASN del extremo de Amazon se me asignará?

R: Amazon asignará 64512 al ASN del extremo de Amazon para la nueva gateway virtual.

P: Tengo una gateway virtual y una conexión de VIF/VPN privada configurada con un ASN público asignado por Amazon. Quiero usar el mismo ASN público asignado por Amazon para la nueva conexión de VIF/VPN privada que estoy creando. ¿Cómo lo hago?

R: Puede configurar/asignar un ASN para que se publique como el ASN del extremo de Amazon durante la creación de la nueva gateway privada virtual (gateway virtual). Puede crear una gateway virtual con la consola o la llamada a la API EC2/CreateVpnGateway. Como se mencionó anteriormente, hasta el 30 de junio de 2018, Amazon continuará suministrando el “ASN público heredado” de la región. Luego del 30 de junio de 2018, Amazon proveerá un ASN de 64512.

P: Tengo una gateway virtual y una conexión de VIF/VPN privada configurada con un ASN público asignado por Amazon de 7224. Si Amazon genera automáticamente el ASN para la nueva conexión de VIF/VPN privada con la misma gateway virtual, ¿qué ASN del extremo de Amazon se me asignará?

R: Amazon asignará 7224 al ASN del extremo de Amazon para la nueva conexión de VIF/VPN. El ASN del extremo de Amazon para su nueva conexión de VIF/VPN privada se hereda de su gateway virtual existente y se asigna de manera predeterminada a dicho ASN.

P: Estoy adjuntando varias VIF privadas a una única gateway virtual. ¿Es posible que cada VIF tenga un ASN del extremo de Amazon diferente?

R: No, es posible asignar/configurar un ASN del extremo de Amazon diferente para cada gateway virtual, pero no para cada VIF. El ASN del extremo de Amazon para la VIF se hereda del ASN del extremo de Amazon de la gateway virtual adjunta.

P: Estoy creando varias conexiones de VPN a una única gateway virtual. ¿Es posible que cada conexión de VPN tenga un ASN del extremo de Amazon diferente?

R: No, es posible asignar/configurar un ASN del extremo de Amazon diferente para cada gateway virtual, pero no para cada conexión de VPN. El ASN del extremo de Amazon para la conexión de VPN se hereda del ASN del extremo de Amazon de la gateway virtual.

P: ¿Dónde puedo seleccionar mi propio ASN?

R: Cuando cree una gateway virtual en la consola de VPC, desactive la casilla que pregunta si desea generar automáticamente el BGP ASN de Amazon y especifique su propio ASN privado para la mitad de Amazon de la sesión BGP. Una vez que la gateway virtual esté configurada con el ASN del extremo de Amazon, las VIF privadas o las conexiones de VPN creadas con la gateway virtual usarán su ASN del extremo de Amazon.

P: Actualmente utilizo CloudHub. ¿Tendré que realizar ajustes de configuración en el futuro?

R: No deberá hacer ninguna modificación.

P: Quiero seleccionar un ASN de 32 bits. ¿Cuál es el rango de ASN privadas de 32 bits?

R: Admitiremos ASN de 32 bits de 4200000000 a 4294967294.

P: Una vez que la gateway virtual se haya creado, ¿puedo modificar el ASN del lado de Amazon?

R: No, no podrá modificar el ASN del extremo de Amazon con posterioridad a la creación. Puede eliminar la gateway virtual y crear una nueva con el ASN que desee.

P: ¿Hay un API nueva para configurar/asignar el ASN del lado de Amazon?

R: Puede hacerlo con la API anterior (EC2/CreateVpnGateway). Tan solo añadimos un parámetro nuevo (amazonSideAsn) a la API.

P: ¿Hay un API nueva para ver el ASN del lado de Amazon?

R: Puede ver el ASN del extremo de Amazon con la misma API EC2/DescribeVpnGateways. Tan solo agregamos un parámetro nuevo (amazonSideAsn) a la API.

P: ¿Qué ASN puedo usar para configurar mi puerta de enlace del cliente (CGW)?

R: Se puede usar ASN en el rango entre 1 y 2147483647 con las excepciones indicadas. Consulte las opciones de puerta de enlace del cliente para la sección de conexión de AWS Site-to-Site VPN de la guía del usuario de AWS VPN.   

P: Quiero usar ASN de 32 bits para mi puerta de enlace de cliente. ¿Se admite ASN de rango privado de 32 bits?

R: Sí. Tenga en cuenta que el ASN privado en el rango de 4200000000 a 4294967294 NO se admite actualmente para la configuración de puerta de enlace de cliente. Consulte las opciones de puerta de enlace del cliente para la sección de conexión de AWS Site-to-Site VPN de la guía del usuario de AWS VPN.